Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены ответы на часто задаваемые вопросы о безопасности Azure NetApp Files.
Можно ли настроить шифрование сетевого трафика между виртуальной машиной Azure и хранилищем?
Трафик данных Azure NetApp Files по своей природе безопасен, так как не предоставляет публичную конечную точку, а трафик данных остается в виртуальной сети клиента. По умолчанию данные в процессе передачи не шифруются. Но трафик от любой виртуальной машины Azure (с клиентом NFS или SMB) к Azure NetApp Files так же безопасен, как при любом другом взаимодействии между виртуальными машинами Azure.
Протокол NFSv3 не обеспечивает поддержку шифрования, поэтому этот поток данных не может быть зашифрован. При необходимости можно включить шифрование NFSv4.1 и SMB3 для данных при передаче. Трафик данных между клиентами NFSv4.1 и томами Azure NetApp Files можно шифровать с использованием Kerberos и протокола AES-256. Дополнительные сведения см. в статье Настройка шифрования Kerberos NFSv4.1 для Azure NetApp Files. Трафик между клиентами SMB3 и томами Azure NetApp Files можно шифровать с помощью алгоритма AES-CCM в SMB 3.0 и алгоритма AES-GCM в SMB 3.1.1. Дополнительные сведения см. в статье Создание тома SMB для Azure NetApp Files.
Можно ли шифровать данные в хранилище в состоянии покоя?
Все тома Azure NetApp Files шифруются по стандарту FIPS 140-2. Узнайте, как управляются ключи шифрования.
Шифруется ли трафик репликации Azure NetApp Files между регионами и зонами?
Репликация Azure NetApp Files между регионами и между зонами использует шифрование TLS 1.2 AES-256 GCM для шифрования всех данных, передаваемых между исходным томом и целевым томом. Это шифрование в дополнение к шифрованию Azure MACSec, которое по умолчанию используется для всего трафика Azure, включая межрегиональная репликация Azure NetApp Files и репликация между зонами.
Как осуществляется управление ключами шифрования?
По умолчанию управление ключами для Azure NetApp Files обрабатывается службой с помощью ключей, управляемых платформой. Для каждого тома создается уникальный ключ шифрования данных XTS-AES-256. Используется иерархия ключей шифрования для шифрования и защиты всех ключей томов. Эти ключи шифрования никогда не отображаются и никуда не передаются в незашифрованном виде. При удалении тома Azure NetApp Files немедленно удаляет ключи шифрования тома.
Кроме того, ключи, управляемые клиентом, для шифрования томов Azure NetApp Files можно использовать, где ключи хранятся в Azure Key Vault. С помощью ключей, управляемых клиентом, можно полностью управлять связью между жизненным циклом ключа, разрешениями на использование ключей и операциями аудита с ключами. Эта функция общедоступна в поддерживаемых регионах. Шифрование томов Azure NetApp Files с ключами, управляемыми клиентом с помощью управляемого модуля безопасности оборудования, является расширением этой функции, что позволяет хранить ключи шифрования в более безопасной службе FIPS 140-2 уровня 3 HSM вместо службы FIPS 140-2 уровня 1 или уровня 2, используемой Azure Key Vault.
Azure NetApp Files поддерживает возможность перемещения существующих томов от ключей, управляемых платформой, к ключам, управляемым клиентом. После завершения перехода невозможно вернуться к ключам, управляемым платформой. Дополнительные сведения см. в статье Переход тома Azure NetApp Files на ключи, управляемые клиентом.
Можно ли настроить правила политики экспорта NFS для управления доступом к целевому объекту подключения службы Azure NetApp Files?
Да, вы можете настроить до пяти правил в одной политике экспорта NFS.
Можно ли использовать управление доступом на основе ролей Azure (RBAC) с Azure NetApp Files?
Да, Azure NetApp Files поддерживает возможности Azure RBAC. Кроме встроенных ролей Azure, вы можете создавать пользовательские роли для Azure NetApp Files.
Полный список разрешений для Azure NetApp Files см. в описании работы поставщика ресурсов Azure для Microsoft.NetApp.
Поддерживает ли Azure NetApp Files журналы действий Azure?
Azure NetApp Files — нативная служба Azure. Весь трафик API, использующий методы PUT, POST и DELETE для Azure NetApp Files, регистрируется в журналах. Например, в этих журналах отображаются такие действия, как кто создал моментальный снимок, кто изменил том и тому подобное.
Azure NetApp Files также предлагает ведение журнала доступа к файлам.
Полный список операций API см. в статье REST API Azure NetApp Files.
Можно ли использовать политики Azure для Azure NetApp Files?
Да, вы можете создавать пользовательские политики Azure.
Однако нельзя создавать политики Azure (пользовательские политики именования) в интерфейсе Azure NetApp Files. См. статью Рекомендации по сетевому планированию для файлов Azure NetApp.
Когда я удаляю том Azure NetApp Files, данные удаляются безопасно?
Удаление тома Azure NetApp Files выполняется программно с немедленным эффектом. Операция удаления включает удаление ключей, используемых для шифрования неактивных данных. Нет ни единой возможности восстановить удаленный том после успешного выполнения операции удаления (через такие интерфейсы, как портал Azure и API).
Как учетные данные соединителя Active Directory хранятся в службе Azure NetApp Files?
Учетные данные соединителя AD хранятся в базе данных уровня управления Azure NetApp Files в зашифрованном формате. Используемый алгоритм шифрования — AES-256 (односторонний).
Следующие шаги
- Создание запроса на поддержку Azure
- Часто задаваемые вопросы о сети
- Вопросы и ответы по производительности
- Вопросы и ответы по NFS
- Часто задаваемые вопросы о SMB
- Вопросы и ответы по управлению ресурсами
- Часто задаваемые вопросы о миграции и защите данных
- Часто задаваемые вопросы о резервном копировании Azure NetApp Files
- Часто задаваемые вопросы об устойчивости приложений
- Часто задаваемые вопросы об интеграции